Autorizzazione EventBridge all'uso di una chiave gestita dal cliente - Amazon EventBridge
Considerazioni relative alla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione EventBridge all'uso di una chiave gestita dal cliente

Se utilizzi una chiave gestita dal cliente nel tuo account per proteggere EventBridge le tue risorse, le politiche su tale chiave KMS devono EventBridge autorizzare l'uso per tuo conto. Fornisci queste autorizzazioni in una politica chiave.

EventBridge non necessita di ulteriori autorizzazioni per utilizzare l'impostazione predefinita Chiave di proprietà di AWS per proteggere le EventBridge risorse del tuo AWS account.

EventBridge richiede le seguenti autorizzazioni per utilizzare le chiavi gestite dal cliente:

  • kms:DescribeKey

    EventBridge richiede questa autorizzazione per recuperare l'ARN della chiave KMS per l'ID chiave fornito e per verificare che la chiave sia simmetrica.

  • kms:GenerateDataKey

    EventBridge richiede questa autorizzazione per generare una chiave dati come chiave di crittografia per i dati.

  • kms:Decrypt

    EventBridge richiede questa autorizzazione per decrittografare la chiave dati crittografata e archiviata con i dati crittografati.

    EventBridge lo utilizza per la corrispondenza dei modelli di eventi; gli utenti non hanno mai accesso ai dati.

Sicurezza quando si utilizzano chiavi gestite dal cliente per la EventBridge crittografia

Come procedura consigliata in materia di sicurezza aws:SourceArnaws:sourceAccount, aggiungi una chiave o una chiave di kms:EncryptionContext:aws:events:event-bus:arn condizione alla policy AWS KMS chiave. La chiave di condizione globale IAM aiuta a garantire che la chiave KMS venga EventBridge utilizzata solo per il bus o l'account specificato.

L'esempio seguente dimostra come seguire questa best practice nella politica IAM per un bus di eventi:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }